[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
3 likes2,432 views
HIGOBASHI.AWS #2の登壇資料 AWSにおける最近のネットワーク関連のアップデートと、そのハマりどころ、回避方法を紹介しました。
![[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り](https://image.slidesharecdn.com/higobashi-180327221342/85/HIGOBASHI-AWS-AWS-37-320.jpg)
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
- 1. 2018.3.23 Shuji Kikuchi AWS ネットワーク?ネタ祭り - 最近のアップデート紹介?ハマりどころと対応策 -
- 2. 2??紹介 菊池 修治 - クラスメソッド AWS事業部 - Senior Solutions Architect - AWS認定 7冠 - SIer → 製造業 → クラスメソッド - 好きなデータストア - MongoDB New! New!
- 5. 5最近のネットワーク関連アップデート ? Direct Connect Gateway (2017.11発表) ? Inter Region VPC Peering (2017.11発表、2018.2Update) ? NLB + PrivateLinkの独?EndPoint (2017.12発表)
- 6. 6Direct Connect Gateway ? 1つのDirect Connect(DX)接続で世界中のAWSリー ジョンとプライベート接続が可能に ? 仮想インターフェース(VIF)とVGWの間にDX Gateway を配置 https://dev.classmethod.jp/cloud/aws/direct-connect-gateway/
- 8. 8Direct Connect Gateway ap-northeast-1 ap-southeast-1 sa-east-1 us-east-1 eu-central-1 DX DX接続が1つあれば世界中のAWSリージョンとプライベート接続が可能
- 9. 9 ? リージョンをまたいだVPC Peeringが可能に ? 2017年11?登場、2018年2?に東京リージョン対応 https://dev.classmethod.jp/cloud/aws/inter-regrion-vpc-peering/ https://dev.classmethod.jp/cloud/aws/inter-region-vpc-peering-available-tokyo/ Inter Region VPC Peering
- 10. 10Inter Region VPC Peering ap-northeast-1 ap-southeast-1 sa-east-1 us-east-1 eu-central-1 世界中のVPCとプライベート接続が可能
- 11. 11NLB + PrivateLinkの独?EndPoint 独?のサービスをVPCエンドポイントとして提供可能に https://dev.classmethod.jp/cloud/aws/aws-reinvent-vpc-privatelink-endpoint/ PrivateLink NLB ENI ユーザ(クライアント) サービサー(プロバイダ) ①エンドポイント サービスとして公開 ②サービスを指定して エンドポイント作成 vpce-xxx.ap-northeast- 1.vpce.amazonaws.com
- 12. 12NLB + PrivateLinkの独?EndPoint ? クライアントからはプロバイダの構成は隠蔽 ? VPC CIDRの重複を考慮する必要も無し! Service ENI ユーザ(クライアント) ②サービスを指定して エンドポイント作成 vpce-xxx.ap-northeast- 1.vpce.amazonaws.com
- 14. 14 Direct Connect Gateway と Inter Region VPC Peering の違い
- 15. 15DX Gateway と Inter Region VPC Peering ? どちらも他リージョンとの接続を提供するサービス ? DX Gateway:オンプレミスと複数VPCの接続を提供 ? Inter Region VPC Peering:VPC同?の接続を提供 ? DX Gateway では VPC間の通信は不可 ? VPC間の通信はPeeringを併?
- 16. 16DX Gateway と Inter Region VPC Peering
- 17. 17 Direct Connect Gateway の导?
- 18. 18DX Gatewayを導?したい ? まずは利?しているDXのタイプを確認 ? 専有型:回線とDXルータを?前で?意?専有 ? 共有型:キャリアが提供の回線?ルータからVIFを提供 https://dev.classmethod.jp/cloud/aws/direct-connect-guide/ ? 専有型はすぐに利?可能(Gatewayを作成) ? 共有型の場合にはサービス提供元に確認
- 19. 19DX Gatewayを導?したい ? タイプがわからない場合はコンソールを確認 ? 回線の所有権がない「共有型」では「接続」の項?に何 も表?されない
- 20. 20 Inter Region VPC Peering の制约
- 21. 21Inter Region VPC Peering の制约 ? Inter Region VPC Peeringにはリージョン内の VPC Peeringと?べ未サポートの機能がある ? Security Group参照 ? VPC間のプライベートIP解決
- 22. 22Inter Region VPC Peering の制约 ? Security Group参照 ? リージョン内ではSourceにSecurity Groupを指定可能 ? Inter RegionではIP/CIDRで指定する必要あり Security Group Web Security Group DB Protocol Port Source TCP 3306 SG:Web
- 23. 23Inter Region VPC Peering の制约 ? プライベートIP解決 ? パブリックDNSの解決結果 ? VPC外:Public IPを取得 ? VPC内(AmazonProvidedDNS ):Private IPを取得
- 24. 24Inter Region VPC Peering の制约 ? プライベートIP解決 VPC外:Public IPを取得 VPC内(AmazonProvidedDNS):Private IPを取得 $ dig ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com @8.8.8.8 : :;ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. IN A ;; ANSWER SECTION:ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. 21599 IN A 13.231.218.52 $ dig ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com @172.31.0.2 : :;ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. IN A ;; ANSWER SECTION:ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. 21599 IN A 172.31.5.216
- 25. 25Inter Region VPC Peering の制约 ? PeeringしたVPCでも「プライベートIP解決」を有効にすること でVPC間でもPrivate IPで名前解決可能 ? Inter Region VPC Peeringでは「プライベートIP解決」が設定 できないので?VPC以外はPublic IPを取得してしまう ec2-xxx-xxx-xxx-xxx.ap-northeast- 1.compute.amazonaws.com DNS DNS ec2-xxx-xxx-xxx-xxx.ap-northeast- 1.compute.amazonaws.com Private IP
- 26. 26Inter Region VPC Peering の制约 ? パブリックアクセスを有効にしたRDS/Redshiftの場合には重要 ? VPC Peeringを経由せずにInternet経由のアクセスになってしまう DNS DNS Public IP xxx.ap-northeast- 1.rds.amazonaws.com Private IP RDS xxx.ap-northeast- 1.rds.amazonaws.com
- 27. 27Inter Region VPC Peering の制约 ? パブリックアクセスを有効にしたRDS/Redshiftの場合には重要 ? VPC Peeringを経由せずにInternet経由のアクセスになってしまう DNS DNS Public IP xxx.ap-northeast- 1.rds.amazonaws.com Private IP RDS xxx.ap-northeast- 1.rds.amazonaws.com
- 28. 28Inter Region VPC Peering の制约 ? 解決?法はDNSキャッシュの配置 ? AmazonProvidedDNSはVPC内からしか利?できない ? Peering経由でアクセスするにはDNSキャッシュを経由させる https://dev.classmethod.jp/cloud/aws-hybrid-cloud-dns-designs/ DNS xxx.ap-northeast- 1.rds.amazonaws.com Private IP RDS xxx.ap-northeast- 1.rds.amazonaws.com Private IPDNSキャッシュ サーバ
- 29. 29 PrivateLink 独? EndPoint の制约
- 30. 30PrivateLink 独? EndPoint の制约 ? NLB(Network Load Balancer)がコアコンポーネント ? NLB の仕様/制約がそのまま独? EndPointの制约になる ? 利?可能なプロトコル ? 利?可能なターゲット
- 31. 31PrivateLink 独? EndPoint の制约 ? 利?可能なプロトコル:TCP ? UDPアプリケーションは利?不可(SNMP、DNSなど) ? HTTPSのSSL/TLS終端は不可(もちろんCertificate Managerも不可) -> HTTPSの終端が必要な場合はVPC Peering + ALBを使う
- 32. 32PrivateLink 独? EndPoint の制约 ? 利?可能なターゲット: ? EC2インスタンス(インスタンスIDを指定) ? IPアドレス NLB Target Group Instance ID or IP Address
- 33. 33PrivateLink 独? EndPoint の制约 ? 利?可能なターゲット: ? EC2インスタンス(インスタンスIDを指定) ? IPアドレス NLB Target Group Instance ID or IP Address
- 34. 34PrivateLink 独? EndPoint の制约 ? IPアドレスターゲットは全てのIPに使える訳ではない ? NLBの場合はVPC内およびDX接続先のみ利?可能 ? 以下の指定は不可能 ? VPC Peering先 ? VPN接続先 ? ELB(ALB/NLB/CLB)のIP
- 35. 35PrivateLink 独? EndPoint の制约 ? IPアドレスターゲットは全てのIPに使える訳ではない ? NLBの場合はVPC内およびDX接続先のみ利?可能 ? 以下の指定は不可能 ? VPC Peering先 ? VPN接続先 ? ELB(ALB/NLB/CLB)のIP ? HTTPS終端が必要な場合はおとなしくEC2で処理しましょう ALB Target Group Instance ID NLB IP Address
- 36. 36まとめ ? ネットワーク関連の新機能 ? Direct Connect Gateway ? Inter Region VPC Peering ? NLB + PrivateLinkの独?EndPoint ? 機能と制限を理解して正しく使いましょう